Ignorer le contenu principal

Au cours de l'année 2022, les chercheurs en sécurité de Kaspersky ont pu constater l'utilisation prolifique des dispositifs multiplateformes par les groupes spécialisés en cyber-extorsion. Leur objectif actuel consiste à endommager le plus grand nombre de serveurs possible en adaptant leur code malveillant à plusieurs systèmes d'exploitation à la fois. Kaspersky a déjà observé de tels groupes utilisant les langages multiplateformes Rust ou Golang par le passé, à l’instar de Luna et de BlackCat. A la différence que cette fois-ci, les groupes de rançongiciel signalés déploient des malwares qui ne sont pas écrits dans un langage multiplateforme, mais tout de même capable de cibler plusieurs OS simultanément.

L'un de ces groupes, RedAlert, utilise un maliciel écrit en plain C, comme cela a été détecté dans l'échantillon Linux, mais ce dernier peut cependant prendre explicitement en charge les environnements ESXi. De plus, un décrypteur téléchargeable est disponible sur le site de RedAlert, accessible depuis le dark web. Malheureusement, il n'y a pas de données supplémentaires disponibles pour déterminer s'il est écrit dans un langage multiplateforme ou non. RedAlert se distingue aussi de ses pairs en cela qu'il n'accepte que les paiements en crypto-monnaie Monero, rendant les flux plus difficiles à tracer. Bien que cette méthode puisse être jugée satisfaisante par les cyberpirates, Monero n'est pas accepté dans tous les pays ni dans toutes les places de bourse, si bien que certaines victimes peuvent rencontrer des difficultés pour payer leurs rançons.

Monster, un autre groupe de ransomware détecté en juillet 2022, passe par le langage de programmation polyvalent Delphi pour concevoir ses logiciels malveillants qui, toutefois, se déploient sur différents systèmes. Ce qui rend ce groupe particulièrement singulier, c'est qu'il possède une interface graphique (GUI), un composant qui n'a jamais été mis en œuvre par des groupes de ransomware auparavant. Il faut ajouter que ces cybercriminels ont exécuté des attaques par ransomware en utilisant l’interface en ligne de commande de manière automatisée lors d'une attaque ciblée en cours. Selon l'extrait prélevé par les experts de Kaspersky, les auteurs de Monster ont inclus l'interface graphique comme paramètre optionnel de la ligne de commande. 


Monster a effectué des attaques à Singapour, en Indonésie et en Bolivie.

Le rapport publié par Kaspersky couvre également les failles 1-day utilisées pour attaquer Windows 7-11. On parle généralement d’exploit 1-day pour faire référence à l'exploitation d'une vulnérabilité déjà corrigée, ce qui soulève toujours la question de la politique de correction au sein de l'organisation concernée. L'exemple donné concerne la vulnérabilité CVE-2022-24521 qui permet à un agent malveillant d'obtenir des privilèges système sur le périphérique infecté. Il a fallu aux attaquants deux semaines après la divulgation de la vulnérabilité, en avril 2022, pour développer les deux exploits. Il est particulièrement intéressant de noter que ces exploits prennent en charge plusieurs versions de Windows. Cela indique généralement que les cybercriminels visent des organisations commerciales. En outre, les deux exploits partagent de nombreux messages de débogage. L'un des cas recensés inclut des attaques contre une chaîne de magasins dans la région Asie-Pacifique, mais il n’y a malheureusement pas de renseignements supplémentaires permettant de comprendre ce que les cybercriminels essayaient d'accomplir.

"Il n’est pas inhabituel que les groupes de ransomware déploient des logiciels malveillants écrits dans un langage multiplateforme. Cependant, ces derniers temps, on remarque que les cybercriminels ont appris à adapter leurs programmes, codés dans des langues simples, pour mener des attaques conjointement. Cela oblige les spécialistes de la sécurité à élaborer des moyens de détecter et de prévenir les tentatives de ransomware. Nous attirons également l'attention sur l'importance de constamment réviser et mettre à jour les politiques de correctif appliquées par les entreprises", commente Jornt van der Wiel, chercheur senior en sécurité au sein de l'équipe Global Research and Analysis de Kaspersky.

Pour en savoir plus sur RedAlert, Monster et les exploits 1-day, veuillez consulter le rapport complet sur Securelist.

Pour vous protéger et protéger votre entreprise contre les attaques de ransomware, pensez à suivre les règles proposées par Kaspersky :

  • N'exposez pas les services de bureau à distance (tels que Remote Desktop Protocol) aux réseaux publics, sauf en cas de nécessité absolue, et utilisez toujours des mots de passe forts pour ces services.
  • Installez rapidement les correctifs disponibles pour les solutions VPN commerciales, fournissant un accès aux employés en télétravail et agissant comme des passerelles dans votre réseau.
  • Maintenez toujours les logiciels à jour sur tous les appareils que vous utilisez pour empêcher les ransomwares d'exploiter les vulnérabilités.
  • Concentrez votre stratégie de défense sur la détection des mouvements latéraux et l'exfiltration de données vers Internet. Portez une attention particulière au trafic sortant pour détecter les tentatives de connexion des cybercriminels.
  • Sauvegardez régulièrement vos données. Assurez-vous de pouvoir y accéder rapidement en cas d'urgence. 
  • Utilisez des solutions telles que Kaspersky Endpoint Detection and Response Expert et Kaspersky Managed Detection and Response, qui permettent d'identifier et de stopper les attaques à leurs débuts, avant que les pirates n'atteignent leurs objectifs.
  • Pour protéger votre environnement d’entreprise, formez vos employés. Des cours de formation dédiés, tels que ceux proposés par la Kaspersky Automated Security Awareness Platform, peuvent vous y aider.
  • Utilisez une solution de sécurité des points d'extrémité fiable, telle que Kaspersky Endpoint Security for Business, qui offre une prévention des attaques, une détection des comportements inhabituels et un moteur de restauration capable d'annuler les activités malveillantes. KESB dispose également de mécanismes d'auto-défense, qui peuvent empêcher sa suppression par les cybercriminels.
  • Consultez les derniers renseignements sur la Threat Intelligence pour rester au courant des tactiques, techniques et procédures (TTP) réellement utilisées par les acteurs de la menace. Le portail Kaspersky Threat Intelligence est un point d’accès unique de renseignements sur les menaces, fournissant des données sur les cyberattaques et des informations recueillies par notre équipe depuis plus de 25 ans. Afin d'aider les entreprises à mettre en place des défenses efficaces en ces temps de turbulence, Kaspersky a annoncé l'accès gratuit à des informations indépendantes, mises à jour continuellement, et provenant du monde entier sur les cyberattaques et les menaces en cours. Demandez l'accès à cette offre ici.

À propos de Kaspersky

Kaspersky est une société internationale de cybersécurité et de protection de la vie privée numérique fondée en 1997. L’expertise de Kaspersky en matière de « Threat Intelligence » et sécurité informatique vient constamment enrichir la création de solutions et de services de sécurité pour protéger les entreprises, les infrastructures critiques, les autorités publiques et les particuliers à travers le monde. Le large portefeuille de solutions de sécurité de Kaspersky comprend la protection avancée des terminaux ainsi que des solutions et services de sécurité dédiés afin de lutter contre les menaces digitales sophistiquées et en constante évolution. Les technologies de Kaspersky aident plus de 400 millions d’utilisateurs et 240 000 entreprises à protéger ce qui compte le plus pour eux. www.kaspersky.com


RedAlert et Monster : les ransomwares multiplateformes gagnent du terrain

Confirmant la tendance actuelle pour les ransomwares multiplateformes, les experts de Kaspersky ont découvert de nouveaux groupes de ransomware, ayant la particularité de savoir adapter leurs logiciels malveillants à différents systèmes d'exploitation en même temps, pouvant ainsi causer des dommages à davantage d’organisations. Une récente enquête de Kaspersky a mis en lumière les activités de RedAlert et de Monster, des groupes qui ont réussi à mener des attaques sur différents systèmes d'exploitation sans recourir à des langages multiplateformes. Les chercheurs ont aussi décrit des exploits 1-day qui pourraient être exécutés par des groupes de ransomware afin d’atteindre leurs objectifs financiers.
Kaspersky Logo